TA569, या SocGholish के रूप में जाना जाने वाला साइबर-खतरा खतरा अभिनेता ने मीडिया सामग्री प्रदाता द्वारा उपयोग किए जाने वाले जावास्क्रिप्ट कोड से समझौता किया है ताकि इसे फैलाया जा सके। नकली अपडेट पूरे अमेरिका में प्रमुख मीडिया आउटलेट्स में मैलवेयर।
एक के अनुसार ट्वीट्स की श्रृंखला बुधवार देर रात पोस्ट किए गए प्रूफप्वाइंट थ्रेट रिसर्च टीम के अनुसार, हमलावरों ने एक एप्लिकेशन के कोडबेस के साथ छेड़छाड़ की है, जिसका उपयोग अनाम कंपनी राष्ट्रीय और क्षेत्रीय समाचार पत्र वेबसाइटों पर वीडियो और विज्ञापन देने के लिए करती है। आपूर्ति श्रृंखला हमला TA569 के कस्टम मैलवेयर को फैलाने के लिए उपयोग किया जा रहा है, जिसका उपयोग आमतौर पर फॉलो-ऑन हमलों और रैंसमवेयर डिलीवरी के लिए प्रारंभिक एक्सेस नेटवर्क स्थापित करने के लिए किया जाता है।
शोधकर्ताओं ने चेतावनी दी कि पता लगाना मुश्किल हो सकता है: एक ट्वीट के अनुसार, "TA569 ने ऐतिहासिक रूप से इन दुर्भावनापूर्ण जेएस इंजेक्टों को घूर्णन आधार पर हटा दिया और बहाल कर दिया।" "इसलिए पेलोड और दुर्भावनापूर्ण सामग्री की उपस्थिति घंटे-दर-घंटे भिन्न हो सकती है और इसे गलत सकारात्मक नहीं माना जाना चाहिए।"
प्रूफपॉइंट के अनुसार, 250 से अधिक क्षेत्रीय और राष्ट्रीय समाचार पत्र साइटों ने दुर्भावनापूर्ण जावास्क्रिप्ट तक पहुंच बनाई है, जिसमें बोस्टन, शिकागो, सिनसिनाटी, मियामी, न्यूयॉर्क, पाम बीच और वाशिंगटन, डीसी जैसे शहरों में सेवा देने वाले प्रभावित मीडिया संगठन शामिल हैं। हालांकि, शोधकर्ताओं ने कहा कि केवल प्रभावित मीडिया सामग्री कंपनी ही हमले की पूरी श्रृंखला और संबद्ध साइटों पर इसके प्रभाव को जानती है।
ट्वीट में प्रूफप्वाइंट खतरे का पता लगाने वाले विश्लेषक का हवाला दिया गया डस्टी मिलर, वरिष्ठ सुरक्षा शोधकर्ता काइल ईटन, और वरिष्ठ खतरा शोधकर्ता एंड्रयू उत्तरी हमले की खोज और जांच के लिए.
ईविल कॉर्प से ऐतिहासिक संबंध
फेकअपडेट्स एक प्रारंभिक एक्सेस मैलवेयर और अटैक फ्रेमवर्क है जिसका उपयोग कम से कम 2020 से किया जा रहा है संभावित रूप से पहले), जो अतीत में सॉफ़्टवेयर अपडेट के रूप में प्रचारित करने के लिए ड्राइव-बाय डाउनलोड का उपयोग करता था। इसे पहले संदिग्ध रूसी साइबर अपराध समूह एविल कॉर्प की गतिविधि से जोड़ा गया है, जिसे अमेरिकी सरकार द्वारा औपचारिक रूप से मंजूरी दे दी गई है।
ऑपरेटर आम तौर पर एक दुर्भावनापूर्ण वेबसाइट होस्ट करते हैं जो ड्राइव-बाय डाउनलोड तंत्र को निष्पादित करता है - जैसे कि जावास्क्रिप्ट कोड इंजेक्शन या यूआरएल पुनर्निर्देशन - जो बदले में मैलवेयर वाली एक संग्रह फ़ाइल के डाउनलोड को ट्रिगर करता है।
सिमेंटेक शोधकर्ताओं ने पहले ईविल कॉर्प का अवलोकन किया था मैलवेयर का उपयोग करना डाउनलोड करने के लिए एक हमले के क्रम के भाग के रूप में व्यर्थलॉकर, फिर जुलाई 2020 में लक्षित नेटवर्क पर एक नया रैंसमवेयर स्ट्रेन आया।
ड्राइव-बाय डाउनलोड हमलों में वृद्धि उस वर्ष के अंत में अपनाई गई रूपरेखा का उपयोग किया गया, जिसमें हमलावरों ने एक वैध साइट के माध्यम से समझौता की गई वेबसाइटों की सेवा के लिए iFrames का लाभ उठाकर दुर्भावनापूर्ण डाउनलोड की मेजबानी की।
अभी हाल ही में, शोधकर्ताओं ने बांधा एक धमकी अभियान रास्पबेरी रॉबिन यूएसबी-आधारित वर्म के मौजूदा संक्रमणों के माध्यम से फेकअपडेट वितरित करना, एक ऐसा कदम जो रूसी साइबर अपराधी समूह और वर्म के बीच एक लिंक का संकेत देता है, जो अन्य मैलवेयर के लिए लोडर के रूप में कार्य करता है।
आपूर्ति शृंखला के ख़तरे से कैसे निपटें?
प्रूफ़पॉइंट द्वारा खोजा गया अभियान हमलावरों द्वारा कई प्लेटफार्मों पर साझा किए गए कोड को संक्रमित करने के लिए सॉफ़्टवेयर आपूर्ति श्रृंखला का उपयोग करने का एक और उदाहरण है, ताकि बिना अधिक मेहनत किए दुर्भावनापूर्ण हमले के प्रभाव को बढ़ाया जा सके।
वास्तव में, इन हमलों के घातक प्रभाव के कई उदाहरण पहले ही सामने आ चुके हैं, जिनमें से अब कुख्यात हैं ओरियन और लॉग4जे परिदृश्य सबसे प्रमुख में से एक है।
पूर्व की शुरुआत दिसंबर 2020 के अंत में हुई एक उलंघन सोलरविंड्स ओरियन सॉफ्टवेयर और प्रसार में अगले वर्ष में गहराई से, विभिन्न संगठनों पर कई हमलों के साथ। बाद की गाथा दिसंबर 2021 की शुरुआत में डब की गई एक खामी की खोज के साथ सामने आई लॉग4शेल in व्यापक रूप से प्रयुक्त जावा लॉगिंग टूल. इसने कई कारनामों को बढ़ावा दिया और लाखों अनुप्रयोगों को हमले के लिए असुरक्षित बना दिया, जिनमें से कई अप्रकाशित रहें आज।
आपूर्ति श्रृंखला पर हमले इतने प्रचलित हो गए हैं कि सुरक्षा प्रशासक उन्हें रोकने और कम करने के बारे में मार्गदर्शन की तलाश में हैं, जिसे जनता और जनता दोनों निजी क्षेत्रक की पेशकश करते हुए खुशी हुई है।
निम्नलिखित एक कार्यकारी आदेश पिछले साल राष्ट्रपति बिडेन द्वारा जारी सरकारी एजेंसियों को सॉफ्टवेयर आपूर्ति श्रृंखला, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) की सुरक्षा और अखंडता में सुधार करने का निर्देश इस साल की शुरुआत में दिया गया था। अपने साइबर सुरक्षा मार्गदर्शन को अद्यतन किया सॉफ़्टवेयर आपूर्ति श्रृंखला जोखिम को संबोधित करने के लिए। प्रकाशन इसमें साइबर सुरक्षा विशेषज्ञों, जोखिम प्रबंधकों, सिस्टम इंजीनियरों और खरीद अधिकारियों जैसे विभिन्न हितधारकों के लिए सुझाए गए सुरक्षा नियंत्रणों के अनुरूप सेट शामिल हैं।
सुरक्षा पेशेवरों के पास भी है संगठनों को सलाह दी आपूर्ति श्रृंखला को बेहतर ढंग से सुरक्षित करने के तरीके पर, यह अनुशंसा करते हुए कि वे सुरक्षा के लिए शून्य-भरोसेमंद दृष्टिकोण अपनाएं, किसी वातावरण में किसी भी अन्य इकाई की तुलना में तीसरे पक्ष के भागीदारों की अधिक निगरानी करें, और सॉफ़्टवेयर आवश्यकताओं के लिए एक आपूर्तिकर्ता चुनें जो लगातार कोड अपडेट प्रदान करता है।
